使用makecert进行开发SSL

这是我做这个脚本：

创build证书颁发机构

使用SHA1（-r）创build一个带有可导出私钥（-pe）的自签名证书（-r），用于签名（-sky签名）。 私钥写入文件（-sv）。

 makecert -r -pe -n "CN=My Root Authority" -ss CA -sr CurrentUser ^ -a sha1 -sky signature -cy authority -sv CA.pvk CA.cer 

（^ =允许批处理命令行换行）

创build服务器证书

使用SHA1（-a）创build带有可导出私钥（-pe）的服务器证书以进行密钥交换（-sky交换）。 它可以用作SSL服务器证书（-eku 1.3.6.1.5.5.7.3.1）。 颁发证书的文件（-ic）和密钥（-iv）一样。 使用特定的encryption提供程序（-sp，-sy）。

 makecert -pe -n "CN=fqdn.of.server" -a sha1 -sky Exchange ^ -eku 1.3.6.1.5.5.7.3.1 -ic CA.cer -iv CA.pvk ^ -sp "Microsoft RSA SChannel Cryptographic Provider" ^ -sy 12 -sv server.pvk server.cer pvk2pfx -pvk server.pvk -spc server.cer -pfx server.pfx 

然后，您可以在服务器应用程序中使用.PFX文件（或将其安装在IIS中）。 请注意，默认情况下， pvk2pfx不会将密码应用于输出PFX文件 。 你需要使用-po开关。

为了使所有的客户端机器都信任它，请将CA.cer安装在他们的证书存储区（在“受信任的根权限”存储区中）。 如果您位于域中，则可以使用Windows组策略在全球范围内执行此操作。 如果没有，则可以使用certmgr.msc MMCpipe理单元或certutil命令行实用程序：

 certutil -user -addstore Root CA.cer 

要以编程方式在IIS 6.0中安装证书，请查看此Microsoft知识库文章 。 对于IIS 7.0，我不知道。

创build证书颁发机构时，您应该向交换机添加-cy authority ，否则某些证书存储将不会将其视为适当的CA.